La filtración de datos que afectó a Clínica Dávila tras el ciberataque de diciembre de 2025 escaló en marzo con la publicación completa de la información robada en la dark web por parte del grupo LockBit 5.0, que liberó cerca de 180 GB de archivos médicos y personales. El material corresponde a datos previamente sustraídos por el grupo Devman, que no había difundido el total de la información hasta ahora.
OhMyGeek! reportó este incidente durante diciembre, cuando Devman se adjudicó el ataque y afirmó haber accedido a sistemas internos mediante credenciales comprometidas. En ese momento, el grupo publicó una muestra de los archivos como presión ante la negativa de pago y fijó un plazo para liberar el resto. Sin embargo, tras esa acción inicial, no volvió a subir nuevos datos.
La revisión directa de los archivos disponibles en la infraestructura de LockBit permite confirmar que la filtración corresponde al mismo conjunto de datos. El material está organizado en múltiples archivos comprimidos de aproximadamente 3,8 GB cada uno, lo que da cuenta de una estructura preparada para distribución masiva.
De la parcialidad a la exposición completa de Clínica Dávila
El contenido publicado incluye fichas clínicas completas, documentos de identificación, formularios firmados y registros administrativos asociados a atenciones médicas. Los archivos contienen documentación detallada de pacientes, junto con respaldos que permiten reconstruir procesos clínicos y administrativos.
Dentro del material también se identifican documentos internos y protocolos médicos, incluyendo archivos asociados a procedimientos específicos y lineamientos de atención. Esto indica que la filtración no se limita a datos personales, sino que incorpora información estructural del funcionamiento del recinto.
El conjunto de archivos mantiene coherencia con los nombres, estructura y muestras que Devman mostró previamente en foros, lo que permite vincular ambos eventos con el mismo origen. La diferencia radica en la escala: en diciembre se difundieron fragmentos; en marzo, el volumen publicado corresponde a una parte sustancial de la información sustraída.
LockBit no se atribuyó el ataque original. Este elemento, junto con la inactividad posterior de Devman, refuerza la hipótesis de una transferencia o venta de los datos entre grupos. La publicación en el sitio de filtraciones del grupo se registró el 20 de febrero, quedando los archivos disponibles para descarga.
Desaparición de Devman y orden de captura internacional
En paralelo a la aparición de los datos en LockBit, el personaje asociado a Devman dejó de tener presencia en los espacios donde operaba. Sus cuentas dejaron de actualizarse a inicios de febrero y su perfil fue eliminado del foro donde había publicado la filtración inicial.
Antecedentes difundidos por DataBreaches vinculan a Devman con Oleg Evgenievich Nefedov, ciudadano ruso incluido en una orden de captura internacional de Interpol, solicitada por Alemania en enero de 2026. La investigación lo relaciona con delitos de extorsión y con el desarrollo de ransomware como Black Basta, utilizado en ataques contra múltiples organizaciones a nivel global.
La orden indica que el sospechoso habría participado en la coordinación de operaciones criminales y en la gestión de pagos asociados a ataques informáticos. Su paradero actual es desconocido.
Tras la publicación completa de los datos, Clínica Dávila informó que logró identificar la información comprometida e inició un proceso de notificación individual a pacientes afectados, en coordinación con las autoridades. La institución señaló que el incidente correspondió a un acceso no autorizado, que no afectó la continuidad operativa y que mantiene acciones legales en curso mientras avanza la investigación.
